Pré-requisitos para a instalação offline do AKS Edge Essentials

O AKS Edge Essentials foi projetado principalmente para ser instalado em um computador conectado à Internet, pois muitos componentes são atualizados regularmente. No entanto, com algumas etapas extras, é possível implantar o AKS Edge Essentials em um ambiente offline.

O artigo a seguir descreve a configuração necessária para uma instalação offline do AKS Edge Essentials:

• Certificados do Windows
• Verificações da Internet
• Licenciamento

Certificados do Windows

A configuração do AKS Edge Essentials instala apenas o conteúdo confiável. Ele verifica essa confiança verificando as assinaturas Authenticode do conteúdo que está sendo baixado e verificando se todo o conteúdo é confiável antes de instalá-lo. Além disso, o módulo AKSEdge.psm1 do PowerShell e os cmdlets usados para implantar o cluster são assinados e verificados. Isso mantém seu ambiente seguro contra ataques nos quais o local de download está comprometido.

Portanto, a configuração do AKS Edge Essentials requer que vários certificados raiz e intermediários padrão da Microsoft estejam instalados e atualizados no computador de um usuário. Se o computador foi mantido atualizado com o Windows Update, os certificados de autenticação geralmente estão atualizados. Se o computador estiver offline, os certificados deverão ser atualizados de outra maneira.

Uma maneira de verificar no sistema de instalação é seguir estas etapas:

1. Abra uma sessão do PowerShell elevada.

2. Verifique a Autoridade de Certificação Raiz da Microsoft 2011 executando o seguinte comando:

   Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Subject -like "CN=Microsoft Root Certificate Authority 2011*"}
   

   Se a Autoridade de Certificação Raiz da Microsoft 2011 estiver instalada neste computador, você deverá ver a seguinte saída:

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\Root
   
   Thumbprint                                Subject
   ----------                                -------
   8F43288AD272F3103B6FB1428485EA3014C0BCFE  CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=R...
   

3. Verifique a Assinatura de Código da Microsoft PCA 2011 executando o seguinte comando:

   Get-ChildItem -Path Cert:\LocalMachine\CA | Where-Object {$_.Subject -like "CN=Microsoft Code Signing PCA 2011*"}
   

   Se o PCA 2011 de Assinatura de Código da Microsoft estiver instalado nesta máquina, você deverá ver a seguinte saída:

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\CA
   
   Thumbprint                                Subject
   ----------                                -------
   F252E794FE438E35ACE6E53762C0A234A2C52135  CN=Microsoft Code Signing PCA 2011, O=Microsoft Corporation, L=Redmond, S=...
   

Se o certificado intermediário do PCA 2011 de Assinatura de Código da Microsoft estiver apenas no repositório de certificados intermediário do Usuário Atual, ele estará disponível apenas para o usuário conectado. Talvez ele precise ser instalado para outros usuários.

Instalar ou atualizar certificados quando estiver offline

Há duas opções para instalar ou atualizar certificados em um ambiente offline.

Opção 1: instalar certificados manualmente ou como parte de uma implantação com script

Se você estiver criando scripts para a implantação do AKS Edge Essentials em um ambiente offline para estações de trabalho cliente, siga estas etapas:

1. Abra uma sessão do PowerShell elevada.

2. Baixe os certificados necessários:

   1. MicrosoftRootCertificateAuthority2011.cer
   2. MicCodSigPCA2011.crt

3. Execute manualmente os seguintes comandos ou adicione-os ao script de instalação do AKS Edge Essentials:

   certutil.exe -addstore -f "AuthRoot" "[download path]\MicrosoftRootCertificateAuthority2011.cer"
   
   certutil.exe -addstore -f "CA" "[download path]\MicCodSigPCA2011_2011-07-08.crt"
   

4. Para verificar se os certificados foram instalados corretamente, use os comandos do PowerShell fornecidos na seção Certificados do Windows.

Opção 2: distribuir certificados raiz confiáveis em um ambiente corporativo

Para empresas com computadores offline que não têm os certificados raiz mais recentes, um administrador pode usar as instruções em Configurar Raízes Confiáveis e Certificados Não Permitidos para atualizá-los.

Verificações da Internet

Durante a implantação de um cluster do AKS Edge Essentials, o script de implantação do PowerShell verifica a conectividade com a Internet. Essas verificações são para garantir que os servidores DNS funcionem, que o cluster possa se conectar à Internet e que uma conexão Arc possa ser estabelecida se o usuário quiser. No entanto, ao fazer instalações offline, essas verificações não são necessárias e devem ser evitadas.

Durante a criação do arquivo JSON de implantação, marque o InternetDisabled parâmetro dentro da Networking seção como true.

Configure seus adaptadores de rede

Durante a implantação, o AKS Edge Essentials precisa de um adaptador habilitado e com o endereço IP, a sub-rede e as propriedades de gateway padrão corretas. Esses valores são preenchidos automaticamente em um ambiente DHCP. Se você estiver definindo manualmente, verifique se todas as três propriedades estão definidas antes de iniciar a implantação.

Licenciamento

Você pode licenciar implantações offline do AKS Edge Essentials para uso comercial usando o modelo de licenciamento por volume. O AKS Edge Essentials é licenciado e tem o preço de um modelo por dispositivo e por mês. Cada unidade licenciada é aplicada a um dispositivo em seu cluster. Para obter mais informações de licenciamento, consulte AKS Edge Essentials – Licenciamento.

Próximas etapas

• Visão geral do AKS Edge Essentials
• Configuração do AKS Edge Essentials